消失许久的脱口秀演员池子,以一篇《大家好我是池子。我很久没说这句开场白了…》博文重回公众视野,甚至快惊动了数据合规圈的半壁江山。
在这篇博文里,池子称:“在笑果文化寄给我的案件材料里面,我竟然发现了我在中信银行的个人账户交易明细,我问了律师,依照法律,个人银行账户交易明细是重要的个人隐私,银行不能把个人账户交易明细交给第三方。笑果文化这是属于侵犯公⺠个人信息的违法行为。笑果无畏法律的这一系列行为,让我哑口无言,刮目相看。你也没有我的身份证,你也没有我的银行卡, 你也没有司法机关的调查令,笑果文化竟然能从中信银行拿到我近两年的流水还打印出来,你为什么不干脆把余额全取出来拿走呢?之后我们打电话给中信银行,中信银行说这是配合大客户的要求。难道笑果文化可以随时调取公司上百名员工的个人隐私吗。难道中信银行就可以这么随便地给出成千上万的用户的个人隐私吗。这一切,让我们打上一个问号。”
目前,中信银行已经发表了致歉信,原因是笑果查询池子劳资工资记录时,银行员工未严格按规定办理,直接提供了池子的收款记录。这一切,也让数据合规圈给这个行业的数据合规努力打上一个问号?连银行都可能犯令人大跌眼镜的个人信息“共享”BUG,那么更多的不可想象可能会超越你想象了。
实际上,此类案例之前也曾发生过,而且似曾相识,不过这判赔金额就有点寒酸了。
根据35273规范,存款信息(包括资金数量、支付收款记录等)属于个人敏感类财产信息,以及根据《个人金融信息保护技术规范》(JR/T 0171—2020),基于遭到未经授权的查看或未经授权的变更后所产生的影响和危害,交易流水信息属于C2类别。实际上,对这类敏感的个人金融信息的保护,央行等各部门已经呼吁了十数年之久,自2014年开始每年度还会进行金融消费权益保护专项检查工作,但目前来看,情况依旧堪忧。
本事件中涉及的是个人金融信息的授权查询使用。人民银行关于印发《中国人民银行金融消费者权益保护实施办法》的通知第三十条规定,金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。而且,金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。第三十一条还规定,金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。
笔者还真去银行官网查询了其与甲方客户之间的《个人客户服务协议》作为参考,在其协议第四条的授权条款中,其和客户约定了例如“基于为甲方提供更优质服务和产品的目的,甲方同意乙方可以向乙方因服务必要开展合作的伙伴提供甲方的信息、同意上述合作伙伴可以通过乙方查询、收集甲方的信息,法律另有规定除外”在内的授权协议条款。
这类条款属于典型的格式条款,一方面其较为含糊未明确何为甲方个人金融信息,二是这类授权实际上让用户陷入无法选择的怪圈,概括式进行了授权,三是其授权的业务场景是“提供更优质服务和产品”这一非基本业务功能,这样的授权实际上也是一种强制性授权模式。而在该银行于2018年11月1日生效(相比其它银行而言,这样滞后的更新速度也算是令人无语了)的《隐私政策》中,其认为可以在“为维护社会公共利益,或保护我们的客户、我们或我们的关联公司、其他用户或雇员的人身和财产安全或合法权益所合理必需的用途”的情况下共享个人信息且无需征得用户的同意,明显在法定共享豁免情形中夹杂了一些“私货”文字了。
而恰恰就在不久前,央行还向部分银行下发了《个人金融信息(数据)保护试行办法(初稿)》征求意见, 意见稿第十八条规定:“金融机构不得以概括授权的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”
2019年5月,央行办公厅下发了《中国人民银行办公厅关于2018年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔2019〕72号)》。在通报中指出“金融消费者信息安全管理不规范。部分机构存在收集信息范围过大、未经消费者授权收集其个人金融信息的情形、业务系统存储不规范等情形”属于重点问题。2020年03月20日,人民银行在完成的2019年金融消费权益保护监督检查工作中指出:“被检查机构基本能够贯彻执行金融消费权益保护相关规定,按要求开展自查和整改落实工作。但检查中也发现被检查机构在金融消费权益保护机制和制度建设、告知义务履行、个人金融信息保护、金融营销宣传、投诉管理、格式条款、宣传教育培训等方面还存在一些问题,有待进一步改进。”
同时,央行和全国金融标准化技术委员会还于2020年2月13日发布了《个人金融信息保护技术规范》(JR/T 0171—2020)。标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。在涉及个人信息共享时,应根据“业务需要"和“最小权限"原则,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。
所以,虽然长期来看,企业的外部数据威胁仍然将在未来存在。但是,据国家计算机信息安全测评中心数据显示,实际上,重要资料被黑客窃取和被内部员工不当泄露提供的比例为1:99,看起来面对内部数据泄露问题,即数据泄密防护Data leakage prevention确实有必要引起更多的重视了。
池子怒怼银行:个人金融信息保护堪忧(附整套个人金融信息法规汇编)
作者:麻策来源:网络法实务圈

消失许久的脱口秀演员池子,以一篇《大家好我是池子。我很久没说这句开场白了…》博文重回公众视野,甚至快惊动了数据合规圈的半壁江山。